為 NSX-T IDS/IPS 啟用記錄後,您可以查看記錄檔以進行疑難排解。
以下是 NSX-T IDS/IPS 的範例記錄檔,此檔案位於 /var/log/nsx-idps/nsx-idps-events.log:
{"timestamp":"2021-08-10T01:01:15.431231+0000","flow_id":1906423505866276,"pcap_cnt":40,"event_type":"alert","src_ip":"192. 168.100.166","src_port":49320,"dest_ip":"185.244.30.17","dest_port":1965,"proto":"TCP","direction":"to_server","metadata": {"flowbits":["LL.verifier_tcp_successful","LL.verifier_tcp_failed","LL.verifier_tcp_blocked"],"flowints": {"intraflow_beacon_num_strides":0,"intraflow_beacon_last_ts":1628557275,"intraflow_beacon_packets_seen":1,"intraflow_beacon_grp_1" :1,"intraflow_beacon_grp_1_cnt":0,"intraflow_beacon_grp_2":1,"intraflow_beacon_grp_2_cnt":0,"intraflow_beacon_grp_3":1, "intraflow_beacon_grp_3_cnt":0,"intraflow_beacon_prior_seq":1762155507,"intraflow_beacon_prior_ack":1700774517, "intraflow_beacon_num_runts":0,"intraflow_beacon_sni_seen":0}},"nsx_metadata":{"flow_src_ip":"192.168.100.166", "flow_dest_ip":"185.244.30.17","flow_dir":2,"rule_id":1001,"profile_id":"f7169d04-81bf-4c73-9466-b9daec6220de", "user_id":0,"vm_uuid":"b1396a3e-3bf9-4fd7-839d-0709c86707b0"},"alert":{"action":"allowed","gid":1,"signature_id":1096797,"rev":14556, "signature":"LASTLINE Command&Control: (RAT) Remcos RAT","category":"A Network Trojan was Detected","severity":1,"source":{"ip":"185.244.30.17","port":1965},"target":{"ip":"192.168.100.166","port":49320}, "metadata":{"detector_id":["96797"],"severity":["100"],"confidence":["80"],"exploited":["None"],"blacklist_mode":["REAL"],"ids_mode":["REAL"],"threat_name":["Remcos RAT"], "threat_class_name":["command&control"],"server_side":["False"],"flip_endpoints":["False"],"ll_expected_verifier":["default"]}}, "flow":{"pkts_toserver":3,"pkts_toclient":1,"bytes_toserver":808,"bytes_toclient":66,"start":"2021-08-10T01:01:15.183844+0000"}}
欄位 | 說明 |
---|---|
時間戳記 | 觸發警示的封包的時間戳記。 |
flow_id | nsx-idps 追蹤的每個流程的唯一識別碼。 |
event_type | IDPS 引擎產生的事件類型。對於警示,事件類型將一律為「警示」(無論執行何種動作)。 |
src_ip | 觸發警示的封包的來源 IP。根據警示特性而定,這可能是用戶端的位址或伺服器的位址。請參閱欄位「direction」以判斷用戶端。 |
src_port | 觸發警示的封包的來源連接埠。 |
dest_ip | 觸發警示的封包的目的地 IP。 |
dest_port | 觸發警示的封包的目的地連接埠。 |
proto | 觸發警示的封包的 IP 通訊協定。 |
方向 | 相較於流量方向的封包方向。對於從用戶端流向伺服器的封包,此值將為「to_server」,而對於從伺服器流向用戶端的封包,此值將為「to_client」。 |
NSX 中繼資料資料表中未包含的任何欄位均僅供內部使用。
NSX 中繼資料 | 說明 |
---|---|
metadata.flowbits 和 metadata.flowints | 此欄位構成了內部流量狀態的傾印。變數由在特定流量上運作的各種特徵碼或 Lua 指令碼動態設定。從語義和本質來說,欄位以內部欄位為主,可能會因 IDS 服務包更新而異。 |
nsx_metadata.flow_src_ip | 用戶端的 IP 位址。可藉由查看封包端點和封包方向衍生。 |
nsx_metadata.flow_dest_ip | 伺服器的 IP 位址。 |
nsx_metadata.flow_dir | 與原始虛擬機器相關的流量方向。值 1 表示受監控虛擬機器的輸入流量,值 2 表示受監控虛擬機器的輸出流量。 |
nsx_metadata.rule_id | 與封包相符的 DFW::IDS 規則識別碼。 |
nsx_metadata.profile_id | 相符的規則使用的內容設定檔識別碼。 |
nsx_metadata.user_id | 流量產生事件的使用者識別碼。 |
nsx_metadata.vm_uuid | 流量產生事件的虛擬機器的識別碼。 |
alert.action | nsx-idps 對封包執行的動作 (已允許/已封鎖)。取決於設定的規則動作。 |
alert.gid、alert.signature_id、alert.rev | 特徵碼的識別碼及其修訂版本。特徵碼可以維持相同的識別碼,並藉由增加修訂版本來更新到較新的版本。 |
alert.signature | 偵測到的威脅的簡短描述。 |
alert.category | 偵測到的威脅的類別。這通常是一種非常粗略/不精確的分類。alert.metadata 中可以找到模式詳細資料。 |
alert.severity | 衍生自警示類別的特徵碼的優先順序。較高優先順序的警示通常與較嚴重的威脅相關聯。 |
alert.source/alert.target | 攻擊方向 (不一定與流量方向相符) 的相關資訊。警示的來源將為攻擊端點,而警示的目標將為攻擊的受害者。 |
alert.metadata.detector_id | NDR 元件用於關聯威脅中繼資料和說明文件的偵測的內部識別碼。 |
alert.metadata.severity | 威脅嚴重性的 0-100 範圍。此值是 alert.metadata.threat_class_name 的函數。 |
alert.metadata.confidence | 偵測正確性信賴度的 0-100 範圍。儘管可能為誤報,發佈的特徵碼報告了低度的信賴度 (<50)。 |
alert.metadata.exploited | 用於表示在偵測中報告的攻擊者是否可能是受感染的主機 (例如,端點資訊不應被視為可靠的 IoC) 的修飾詞。 |
alert.metadata.blacklist_mode | 僅限內部使用。 |
alert.metadata.ids_mode | 特徵碼的作業模式。目前可能的值為 REAL (在 NDR 產品中產生真實模式偵測) 和 INFO (在 NDR 產品中產生資訊模式偵測)。 |
alert.metadata.threat_name | 偵測到的威脅的名稱。威脅名稱在 NDR 產品的內容中作為定義良好的本體的一部分進行管理,從攻擊的性質來說,它是最可靠的資訊來源。 |
alert.metadata.threat_class_name | 與威脅相關的攻擊的高階類別名稱。威脅類別是具有「command&control」、「drive-by」和「exploit」等值的高階類別。 |
alert.metadata.server_side | 用於表示威脅是影響伺服器還是影響用戶端的修飾詞。它等同於 alert.source 和 alert.target 屬性表示的資訊。 |
alert.metadata.flip_endpoints | 用於表示特徵碼是否應與從伺服器流向用戶端的封包相符,而不是與用戶端到伺服器的封包相符的修飾詞。 |
alert.metadata.ll_expected_verifier | 僅限內部使用。 |
flow.pkts_toserver/flow.pkts_toclient/flow.bytes_toserver/flow.bytes_toclient | 相關觸發警示時在指定流量中出現的封包數量/位元組數量的資訊。請注意,此資訊不表示屬於流量的封包總數。此資訊表示產生警示時的部分計數。 |
flow.start | 屬於流量的第一個封包的時間戳記。 |